Google Cloud VMware Engine 权限授予 vCenter 用户执行正常操作所需的权限。在私有云 vCenter 中,一些管理功能需要额外的权限。如需执行此类任务,您可以在限定升级时间间隔内升级 vCenter 用户的权限。
升级权限的原因包括:
- 配置身份源
- 用户管理
- 删除分布式端口组
- 创建服务帐号
权限升级的工作原理
只有在 vCenter 上配置了其他身份提供商,才能升级远程用户的权限。权限升级涉及将所选用户添加到 vSphere 内置的管理员群组中。
必须将来自其他身份源且需要管理访问权限的用户添加为 CloudOwner 群组的成员。要授予比 CloudOwner 群组更少的权限,请创建其他群组并为其分配用户。
升级权限
- 访问 VMware Engine 门户。
- 打开资源页面。
- 选择您要为其升级权限的私有云。
- 在摘要页面上的更改 vSphere 权限下,点击提升。
- 选择 vSphere 用户类型。如需使用 Active Directory 等已配置的身份源,请选择远程身份,然后以用户主体名称 (UPN) 格式输入用户和网域(例如
user@domain)。 - 从列表中选择升级时间间隔。选择可让您完成该任务的最短时间间隔。
- 选中相应复选框以确认您了解相关风险。
- 点击确认。
权限升级开始并持续到选定的间隔结束。在此期间,您可以登录到您的私有云 vCenter 进行特定的管理任务。
延长权限升级期
如果您需要更多时间来完成任务,可以延长权限升级时间间隔。选择可让您完成管理任务的其他升级时间间隔。
- 在资源页面上,选择要扩展权限升级的私有云。
- 在摘要标签页上,点击扩展权限升级。
- 从列表中选择升级时间间隔。查看新的升级结束时间。
- 点击保存。
恢复权限
在升级时间间隔结束时,权限会自动恢复。如果您在升级时间间隔结束之前完成管理任务,我们建议您恢复权限。
- 在资源页面上,选择要为其恢复权限的私有云。
- 点击恢复。
- 点击确定。
禁止执行的操作
当 VMware Engine 检测到以下任何禁止执行的操作时,VMware Engine 会还原更改,以确保服务不会中断。
集群操作
以下集群操作会被禁止:
- 从 vCenter 中移除集群。
- 在集群上更改 vSphere 高可用性 (HA)。
- 通过 vCenter 向集群添加主机。
- 通过 vCenter 从集群中移除主机。
- 在集群上更改 vSphere 分布式资源调度器 (DRS)。
- 重命名集群。
主持人可执行的操作
以下主机操作会被禁止:
- 移除 ESXi 主机上的数据存储区。
- 从主机卸载 vCenter 代理。
- 修改主机配置。
- 对主机配置文件进行任何更改。
- 将主机置于维护模式。
网络操作
vCenter Server 中禁止以下网络操作:
- 删除私有云中默认的分布式虚拟交换机 (DDS)。
- 从默认的 DDS 中移除主机。
- 导入任何 DDS 设置。
- 重新配置任何 DVS 设置。
- 升级任何 DDS。
- 删除管理端口组。
- 修改管理端口组。
NSX-T Manager 禁止以下网络操作:
- 添加新的 NSX-T Edge 节点。
- 更改现有的 NSX-T Edge 节点。
角色和权限操作
以下角色和权限操作会被禁止:
- 修改或删除对任何管理对象的权限。
- 修改或移除任何默认角色。
- 提升角色的权限使其高于 Cloud-Owner-Role。
其他操作
以下操作也会被禁止:
- 移除任意默认许可:
- vCenter 服务器
- ESXi 节点
- NSX-T
- HCX
- 修改或删除管理资源池。
- 克隆管理虚拟机。
- 为工作负载虚拟机分配管理网络。
- 在工作负载虚拟机的管理网络 IP 地址范围中使用 IP 地址。
- 重命名数据中心。
- 使用 vCenter 服务器设备管理接口 (VAMI) 配置 syslog 转发。
- 将您的私有云 vCenter 加入 Active Directory 网域。
- 使用 VMware 工具或 API 调用重置 vCenter 或 NSX-T 登录凭据。请注意,您可以从私有云详情页面检索或重置生成的凭据。
- 在 vSphere 客户端中更改统计信息收集间隔或统计信息级别。
后续步骤
- 了解如何设置 vCenter 身份源。